Απόφαση του ΔΕΕ στην υπόθεση C-582/14 Patrick Breyer κατά
Bundesrepublik Deutschland. Ο φορέας εκμεταλλεύσεως ιστοτόπου μπορεί να
έχει έννομο συμφέρον στην αποθήκευση δεδομένων προσωπικού χαρακτήρα των
επισκεπτών για την αποτροπή επιθέσεων στον κυβερνοχώρο. Η δυναμική διεύθυνση
διαδικτύου ενός επισκέπτη αποτελεί, για τον φορέα εκμεταλλεύσεως του
ιστοτόπου
(site operator), δεδομένο προσωπικού χαρακτήρα, όταν ο εν λόγω φορέας έχει στη
διάθεσή του νόμιμα μέσα βάσει των οποίων μπορεί να εξακριβωθεί
η ταυτότητα του οικείου επισκέπτη χάρη στις πρόσθετες πληροφορίες που έχει στη
διάθεσή του ο φορέας παροχής προσβάσεως στο διαδίκτυο (internet provider) του
επισκέπτη.
Ο Patrick Breyer προσέφυγε ενώπιον των γερμανικών
δικαστηρίων κατά της καταχωρίσεως και αποθηκεύσεως των διευθύνσεών του
πρωτοκόλλου διαδικτύου (διευθύνσεις IP) από τους ιστοτόπους των γερμανικών
ομοσπονδιακών υπηρεσιών τους οποίους επισκέπτεται. Οι εν λόγω υπηρεσίες
καταχωρούν και αποθηκεύουν, πέραν της ημερομηνίας και ώρας της εκάστοτε
επισκέψεως σε ιστότοπο, τις διευθύνσεις IP των επισκεπτών προς αποτροπή των
επιθέσεων στον κυβερνοχώρο και διευκόλυνση της ποινικής διώξεως.
Το Bundesgerichtshof (Ανώτατο Ομοσπονδιακό Δικαστήριο,
Γερμανία) υπέβαλε αίτηση προδικαστικής αποφάσεως ενώπιον του Δικαστηρίου
ζητώντας να διευκρινισθεί αν, στο πλαίσιο αυτό, και οι «δυναμικές» διευθύνσεις
IP αποτελούν, έναντι του φορέα εκμεταλλεύσεως του ιστοτόπου, δεδομένο
προσωπικού χαρακτήρα και απολαύουν επομένως την προβλεπόμενη για τα δεδομένα
αυτά προστασία. Δυναμική διεύθυνση IP είναι διεύθυνση IP η οποία αλλάζει σε
κάθε νέα σύνδεση στο διαδίκτυο. Αντιθέτως προς τις στατικές διευθύνσεις IP, οι
δυναμικές διευθύνσεις IP δεν επιτρέπουν να γίνει συσχετισμός, μέσω προσβάσιμων
στο κοινό αρχείων, ενός συγκεκριμένου υπολογιστή και της συνδέσεως με το
διαδίκτυο που χρησιμοποίησε ο φορέας παροχής προσβάσεως στο διαδίκτυο.
Επομένως, μόνον ο φορέας παροχής προσβάσεως στο διαδίκτυο του Ρ. Breyer έχει
στη διάθεσή του πρόσθετες πληροφορίες που απαιτούνται για την εξακρίβωση της
ταυτότητάς του.
Εξάλλου, το Bundesgerichtshof ζητεί να διευκρινισθεί αν ο
φορέας εκμεταλλεύσεως ιστοτόπου πρέπει, τουλάχιστον κατ’ αρχήν, να έχει τη
δυνατότητα να συλλέγει και να χρησιμοποιεί μεταγενέστερα τα δεδομένα προσωπικού
χαρακτήρα των επισκεπτών προς τον σκοπό διασφαλίσεως της γενικής
λειτουργικότητας του ιστοτόπου του. Παρατηρεί συναφώς ότι η κρατούσα στη
γερμανική νομική θεωρία άποψη ερμηνεύει τη συναφή γερμανική ρύθμιση υπό την
έννοια ότι τα δεδομένα αυτά πρέπει να διαγράφονται μετά τη λήξη της εκάστοτε
επισκέψεως εφόσον δεν είναι αναγκαία για σκοπούς τιμολογήσεως.
Με την απόφασή του, το Δικαστήριο απαντά κατ’ αρχάς ότι
δυναμική διεύθυνση IP καταχωρισμένη από «φορέα παροχής υπηρεσιών τηλεμέσων»
(ήτοι από τον φορέα εκμεταλλεύσεως ιστοτόπου, εν προκειμένω τις γερμανικές
ομοσπονδιακές υπηρεσίες) κατά την επίσκεψη του προσβάσιμου στο κοινό ιστοτόπου
του αποτελεί, έναντι του φορέα εκμεταλλεύσεως, δεδομένο προσωπικού χαρακτήρα,
όταν έχει στη διάθεσή του νόμιμα μέσα βάσει των οποίων μπορεί να εξακριβωθεί η
ταυτότητα του επισκέπτη χάρη στις πρόσθετες πληροφορίες που έχει στη διάθεσή
του ο φορέας παροχής προσβάσεως στο διαδίκτυο του επισκέπτη αυτού.
Συναφώς, το Δικαστήριο επισημαίνει ότι στη Γερμανία φαίνεται
ότι υφίστανται νόμιμες διαδικασίες παρέχουσες στον φορέα παροχής υπηρεσιών
τηλεμέσων τη δυνατότητα να απευθυνθεί, ιδίως σε περίπτωση επιθέσεων στον
κυβερνοχώρο, στην αρμόδια αρχή ώστε αυτή να προβεί στις απαραίτητες ενέργειες
για να λάβει τις εν λόγω πληροφορίες από τον φορέα παροχής υπηρεσιών προσβάσεως
στο διαδίκτυο και να κινήσει στη συνέχεια ποινική δίωξη.
Δεύτερον, το Δικαστήριο απαντά ότι το δίκαιο της Ένωσης
αντιτίθεται σε ρύθμιση κράτους μέλους δυνάμει της οποίας, χωρίς τη συγκατάθεση
επισκέπτη σε ιστότοπο, φορέας παροχής υπηρεσιών τηλεμέσων δύναται να συλλέγει
και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα αφορώντα τον επισκέπτη μόνον
αν η εν λόγω συλλογή και χρησιμοποίηση απαιτούνται για να καταστεί δυνατή και
να τιμολογηθεί η συγκεκριμένη χρήση των ως άνω υπηρεσιών από τον εν λόγω
επισκέπτη, και κατά την οποία ο σκοπός της διασφαλίσεως της γενικής
λειτουργικότητας των ιδίων υπηρεσιών δεν μπορεί να δικαιολογήσει τη
χρησιμοποίηση των δεδομένων αυτών μετά τη λήξη της εκάστοτε επισκέψεως σε
ιστότοπο.
Το Δικαστήριο υπενθυμίζει ότι, κατά το δίκαιο της Ένωσης, η
επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι νόμιμη όταν είναι απαραίτητη
για την επίτευξη του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της
επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα,
υπό τον όρο ότι δεν προέχει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι
ελευθερίες του οικείου προσώπου. Η γερμανική ρύθμιση, κατά την κρατούσα στη
νομική θεωρία ερμηνεία, περιορίζει το πεδίο εφαρμογής της αρχής αυτής,
αποκλείοντας τη στάθμιση του σκοπού διασφαλίσεως της γενικής λειτουργικότητας
του εν λόγω τηλεμέσου με το συμφέρον ή τα θεμελιώδη δικαιώματα και ελευθερίες
των επισκεπτών.
Στο πλαίσιο αυτό, το Δικαστήριο τονίζει ότι οι γερμανικές ομοσπονδιακές υπηρεσίες οι οποίες παρέχουν υπηρεσίες τηλεμέσων μπορεί να έχουν έννομο συμφέρον για τη διασφάλιση, πέραν της εκάστοτε συγκεκριμένης χρήσεως των προσβάσιμων στο κοινό ιστότοπών τους, της λειτουργικότητας των ιστοτόπων τους. (curia.europa.eu). Δείτε το κείμενο της απόφασης εδώ
Στο πλαίσιο αυτό, το Δικαστήριο τονίζει ότι οι γερμανικές ομοσπονδιακές υπηρεσίες οι οποίες παρέχουν υπηρεσίες τηλεμέσων μπορεί να έχουν έννομο συμφέρον για τη διασφάλιση, πέραν της εκάστοτε συγκεκριμένης χρήσεως των προσβάσιμων στο κοινό ιστότοπών τους, της λειτουργικότητας των ιστοτόπων τους. (curia.europa.eu). Δείτε το κείμενο της απόφασης εδώ
Σχόλια